Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Erpressungstrojaner und Mac-Malware: Schützen statt zahlen

Bislang konnten sich Mac-Nutzer relativ sicher fühlen. Inzwischen kursierte aber die erste Ransomware im Netz, die auch OS X infiziert. Sie verschlüsselt Daten und erpresst Lösegeld vom Anwender. Mac & i zeigt, wie Sie sich generell vor Malware schützen können und nennt die Hintergründe.

In Pocket speichern vorlesen Druckansicht 10 Kommentare lesen
An der Tastatur
Lesezeit: 15 Min.
Mac & i
Von
  • Tobias Engler
Inhaltsverzeichnis

Artikel aus Mac & i Heft 2/2016, S. 142, aktualisiert und ergänzt

Wer sich am 4. März den beliebten BitTorrent-Client Transmission in der damals neuen Version 2.90 von der offiziellen Seite transmissionbt.com herunterlud, ahnte nicht, welchen Ärger er sich damit ins Haus holte. Kriminelle hatten den Server gehackt und den Transmission-Installer durch eine eigene Variante ausgetauscht, welche KeRanger auf dem Mac platziert. Es ist zu befürchten, dass ein solcher Erpressungs-Trojaner und ähnliche Malware demnächst öfter auftaucht.

Ist eine Schadsoftware wie KeRanger erst einmal auf den Rechner gelangt und aktiviert worden, beispielsweise durch den Aufruf des infizierten Transmission-Installers, hängen mögliche Gegenmaßnahmen vom Einzelfall ab.

KeRanger identifizieren und löschen

KeRanger lässt sich in der Aktivitätsanzeige leicht identifizieren, der Name des Prozesses lautet „kernel_service“ (Achtung, nicht „kernel_task“!). Diesen Prozess können Sie sofort beenden. Sind im Verzeichnis ~/Library zudem die Dateien .kernel_complete, .kernel_pid, .kernel_time oder .kernel_service vorhanden, löschen Sie diese. Da es sich um unsichtbare Dateien handelt, machen Sie diese im Finder zuerst mit dem Terminal-Befehl

defaults write com.apple.finder AppleShowAllFiles TRUE; killall Finder

sichtbar. (FALSE statt TRUE macht sie anschließend wieder unsichtbar). Transmission 2.92 entfernt KeRanger übrigens selbsttätig.

Im Falle von KeRanger könnte es auch helfen, schnellstmöglich den Netzzugang zu blockieren, sei es durch physisches Abziehen eines LAN-Kabels oder durch Abschalten der WiFi-Verbindung. KeRanger erfragt nämlich über das Tor-Netzwerk einen öffentlichen Schlüssel zum Kodieren des geheimen AES-Keys vom sogenannten Command- und Control-Server.

Natürlich unterscheiden sich die Details von Trojaner zu Trojaner. Sollte Ihr Mac befallen sein oder Sie auch nur den Verdacht haben, suchen Sie im Netz nach Hinweisen. Oft verraten Sicherheitsspezialisten wie Palo Alto Networks oder BitDefender nicht nur mögliche Maßnahmen, sondern auch, wie man herausfindet, ob der Rechner infiziert ist. KeRanger beispielsweise basiert auf der Linux-Schadsoftware Linux.Encoder 4. Für die ursprüngliche Variante Linux.Encoder 1 stellt Bitdefender ein Entschlüsselungstool bereit, das von einem Umsetzungsfehler in der Ransomware profitiert und den AES-Schlüssel rekonstruieren kann.

Apples Malware-Blockade XProtect

Die in OS X eingebaute Schutztechnik XProtect prüft im Zusammenspiel mit Gatekeeper Downloads auf bekannte Schädlinge und schlägt dem Anwender vor, verdächtige Dateien in den Papierkorb zu befördern, wenn es sie erkennt. Aufgrund der Implementierung ist aber nicht sichergestellt, dass aktualisierte Versionen von XProtect umgehend auf alle Rechner von Anwendern gelangen. Hier muss man im Ernstfall selbst kontrollieren, ob dies schon geschehen ist. Auf einem unserer Testrechner dauerte es vier Tage, bis XProtect aktualisiert und damit auf KeRanger vorbereitet war.

Damit die automatischen Updates zeitnah erfolgen, muss die Option „Systemdatendateien und Sicherheits-Updates installieren“ in den Systemeinstellungen unter „App Store“ gesetzt sein. In vielen Fällen mag es auch praktikabel sein, Software-Installationen auf den Mac App Store zu beschränken. Dies können Sie in den Sicherheits-Einstellungen des Systems in der Lasche „Allgemein“ anpassen.

Nur wenn die Option zum Installieren von Systemdatendateien und Sicherheits-Updates aktiviert ist, wird Apples Schutzmechanismus XProtect automatisch im Hintergrund aktualisiert.

Da KeRanger mit einem geklauten, aber offiziellen Entwicklerzertifikat eines anderen Entwicklers „produziert“ wurde, hätte die Einstellung „Mac App Store und verifizierte Entwickler“ hier nicht geholfen – zumindest nicht so lange, bis Apple das Zertifikat zurückgezogen hatte. Wie XProtect hängt auch das Zertifikate-Update in der Luft, wenn man vorübergehend keinen Netzzugang hat.

Aktualität von XProtect selbst überprüfen

Um die Aktualität von XProtect selbst zu prüfen, gehen Sie am besten über das Apple-Menü, rufen „Über diesen Mac“ und dann „Systembericht“ auf und suchen dort unter „Installationen“ nach „XProtect“. Der letzte Eintrag verrät das letzte Aktualisierungsdatum. Im Terminal geht es etwas schneller mit

ls -alsi /System/Library/CoreServices/XProtect.bundle/Contents/Resources/

Wichtig ist das Änderungsdatum des Verzeichnisses, das Sie in der ersten Ausgabezeile – die mit dem „.“ am Ende – finden. Das Änderungsdatum der XProtect.plist weist hingegen auf das Änderungsdatum der Datei selbst durch Apple hin, das wegen der möglicherweise verzögerten Auslieferung nicht dem lokalen Stand entsprechen muss.

Um auf Nummer sicher zu gehen, kann man den Inhalt der XProtect.plist mit einem Tool wie Xcode selbst prüfen.


Liegen die Änderungen zu lang zurück, können Sie auch jederzeit ein manuelles Update im Terminal anstoßen, und zwar mit dem Befehl:

sudo softwareupdate --background-critical

Allerdings sollte man sich weder auf Apples Schutz noch auf Anti-Viren-Programme der bekannten Hersteller verlassen, denn auch diese können nur greifen, wenn sie rechtzeitig Signatur-Updates erhalten – was im Falle von KeRanger bei allen uns bekannten Mac-Virenscannern nicht der Fall war.

In den Systeminformationen gibt Apple Aufschluss darüber, wann die XProtect.
plist-Datei mit Schädlingssignaturen das letzte Mal aktualisiert wurde.

Allgemeine Schutzmaßnahmen gegen Mac-Malware

Besser sind generelle Schutzmaßnahmen, die auch andere Schadsoftware abhalten. So sollte man nie Anhänge verlockend klingender Mails von unbekannten Absendern oder sonstwie verdächtiger Schreiben öffnen oder Links folgen. (In dem Artikel Gefahr in der Mail erfahren Sie, wie Sie Phishing-Versuche erkennen.)

Damit das auch nicht zufällig etwa über die Suchergebnisliste von Spotlight passiert, muss in den Mail-Einstellungen unter „Allgemein“ die Option „Nicht bearbeitete Downloads entfernen“ auf „Nach dem Löschen der Email“ stehen – das funktioniert aber nur, wenn diese gleich im Papierkorb gelandet sind und dieser auch geleert wurde. Beachten Sie hierzu bitte das „Postfach-Verhalten“ in den Account-Einstellungen: „Gelöschte Emails in den Papierkorb bewegen“ muss angehakt sein, die Frist fürs endgültige Löschen möglichst kurz gesetzt.

Anhänge separat speichern - "Mails Downloads" komplett löschen

Wer ganz sichergehen will, passt seinen Workflow an und speichert erwünschte Anhänge separat. Dann kann man im nächsten Schritt „Mails Downloads“ in ~/Library/Containers/com.apple.mail/
Data/Library (~ steht für den Benutzerordner) regelmäßig komplett löschen. Generell sollte man in Mail zudem das Nachladen von Inhalten aus dem Netz abschalten. Das erreichen Sie in den Einstellungen von Mail unter „Darstellung“: Die Option „Entfernte Inhalte in Nachrichten laden“ muss abgewählt sein. In Mails von vertrauenswürdigen Absendern können Sie das Laden bei Bedarf per Klick auf den Button „Entfernte Inhalte laden“ rechts oben in der Mail nachholen.

In den Einstellungen legt man fest, wie Mail mit Anhängen gelöschter E-Mails verfährt.
Safari - automatisches Öffnen von Datein abschalten

Auch in Safari sollten Sie übrigens das automatische Öffnen von Dateien möglichst abschalten. Die Option versteckt sich in den allgemeinen Einstellungen unter „Sichere Dateien nach dem Laden öffnen“. Leider ist dort keine Differenzierung möglich.

Eigenhändige Prüfung von Downloads

Wer Programme jenseits des App Stores lädt, sollte auf der Webseite des Anbieters nach Prüfsummen Ausschau halten und sie verifizieren. Transmission etwa veröffentlicht auf seiner Download-Seite eine SHA-256-Prüfsumme, die quasi ein verkürztes, aber eindeutiges Abbild des Downloads darstellt (SHA: Secure Hash Algorithm). Mit einem Terminal-Befehl wie

openssl dgst -sha256 /Users/tsengler/Downloads/Transmission-2.92.dmg

können Sie die Prüfsumme verifizieren. Benutzernamen, Pfad und Dateinamen müssen Sie nicht eingeben. Es reicht, den Befehl bis einschließlich „-sha256“ gefolgt von einem Leerzeichen einzutippen und dann die zu untersuchende Datei aufs Terminal zu ziehen, dann fügt OS X alles dahinter automatisch ein. Apple selbst verwendet auf seiner Download-Seite das Hash-Verfahren SHA-1; in diesem Fall ersetzen Sie zum Prüfen einfach „-sha256“ mit „-sha1“. Heraus kommt im Terminal dann so etwas:

openssl dgst -sha256 /Users/tsengler/Downloads/Transmission-2.92.dmg SHA256(/Users/tsengler/Downloads/Transmission-2.92.dmg)=926a878cac007e591cfcea987048abc0689d77e7729a28255b9ea7b73f22d693

Download prüfen mit dem Automator-Workflow

Einfacher gehts mit unserem Automator-Workflow, den Sie einfach herunterladen und verwenden können. Installieren Sie ihn per Doppelklick, dann können Sie ihn per Rechtsklick auf eine Datei oder ein Disk-Image aktivieren. Er steht im Kontextmenü unter „Dienste/Checksummen-Prüfer“. Das Skript zeigt bequem die Prüfsummen für die Hash-Verfahren SHA-1, SHA-256 und MD5 an.

Ein 100-prozentiger Schutz vor Manipulation ist dies allerdings nur dann, wenn die Angreifer nicht auch die Möglichkeit hatten, die veröffentlichte Prüfsumme zu ändern. Wer die gewünschte Software bereits auf dem Rechner hat, aber ein Update benötigt, sollte die eingebaute Update-Funktion des Systems oder einer Anwendung dem manuellen Download stets vorziehen.

Mit unserem Automator-Workflow können Sie sehr einfach die Prüfsumme von Dateien verifizieren, um auszuschließen, dass sie manipuliert wurden.
App-Sicherheit mit Sparkle-Framework

Manche Apps, zum Beispiel Pixelmator, Cyberduck oder GraphicConverter, verwenden das Framework Sparkle, das Manipulationen von Updates unmöglich macht, wenn der Entwickler es richtig einsetzt: Die App erhält dann einen öffentlichen Schlüssel, mit dem sie die Integrität und Authentizität des Updates überprüfen kann. Transmission-Anwender, die diese Funktion am 4. und 5. März nutzten, bekamen eine entsprechende Fehlermeldung angezeigt. Widerstehen Sie in einem solchen Fall bitte der Versuchung, auf ein manuelles Update auszuweichen! Welche Ihrer Apps Sparkle in welcher Version verwenden, können Sie übrigens mit dem Terminal-Befehl

find /Applications -path '*Autoupdate.app/Contents/Info.plist' -exec echo {} \; -exec grep -A1 CFBundleShortVersionString '{}' \; | grep -v CFBundleShortVersionString

herausfinden. Da in Sparkle selbst auch immer mal wieder Schwachstellen entdeckt werden, sollte man die Entwickler seiner Lieblings-App ruhig befragen, ob sie ihre App auf den neuesten Stand in puncto Sparkle bringen können. Aktuell ist Sparkle Version 1.14.0, die Kommunikation mit dem Update-Server sollte unbedingt verschlüsselt via HTTPS erfolgen, da Sparkle sonst anfällig gegen einen Man-in-the-Middle-Angriff ist.

Nützliche Tools gegen Ransomware und Malware

Neben dem bereits erwähnten Checksummen-Prüfer gibt es auch Mac-Tools von Dritt-Entwicklern, die vor der Infektion mit Ransomware und Malware bewahren können: Der Sicherheitsforscher Patrick Wardle hat ein Programm für OS X entwickelt, das beobachtet, ob verdächtige Systemprozesse Dateien verschlüsseln wollen. Die RansomWhere? getaufte Software informiert dann den Nutzer über diesen Vorgang. Dieser kann den Prozess beenden oder – falls es sich um eine gewollte Verschlüsselung von Dateien durch ein legitimes Programm handelt – auch zulassen.

Der Versuch, Dateien zu verschlüsseln ist aller Ransomware gemein, erklärt Wardle – das Tool unterbinde diese Versuche deshalb generell und schlage Alarm. Von Apple signierte Prozessen traut RansomWhere? grundsätzlich, merkt der Sicherheitsforscher an, das gleiche gilt für Prozesse, die der Nutzer einmal zugelassen hat. Das Programm vertraut auch sämtlichen Binaries, die bei der Installation bereits präsent waren – dies lässt sich aber manuell zurücksetzen. RansomWhere? ist kostenlos.

Little Snitch informiert den Nutzer über Verbindungsversuche von Programmen und Systemprozessen.


Mit Software wie Little Snitch behalten Sie zudem ausgehende Netwerkverbindungen im Blick. Jeder Verbindungsversuch von Apps oder Prozessen muss erst vom Nutzer freigegeben werden. Der Anbieter Objective Development hat zudem ein Recherche-Tool integriert, das Informationen zu dem Prozess liefert, der sich gerade zu einem Server verbinden will. Dies vereinfacht die Entscheidung, ob man eine Freigabe erteilt oder den Versuch lieber unterbindet. Little Snitch kostet gut 35 Euro.

Absicherung durch Backups und Time Machine

Hilft das alles nicht, können Sie immer noch ein früheres Backup einspielen. Das ist ohnehin die effizienteste Maßnahme gegen Ransomware. Doch Vorsicht, Apples Standardsicherung via Time Machine ist möglicherweise nicht ausreichend. In KeRanger finden sich Hinweise darauf, dass auch TimeMachine-Backups in Zukunft verschlüsselt werden sollen. Diese sind zwar durch Access Control Lists (ACLs, regeln erweiterte Benutzerrechte) geschützt. Solche ACLs lassen sich aber bei Dateien, die dem aktiven User gehören, auch von diesem – oder eben von einer von ihm gestarteten App – löschen. So sind die Backup-Daten letztlich nur vor versehentlichem Löschen geschützt.

Backup-Medien - Umgang und Verwendung

Um das Problem zu umgehen, empfiehlt es sich daher, das Backup-Medium wirklich nur zum Zeitpunkt des Backups angeschlossen zu lassen und nach Fertigstellung auszuwerfen, sowie mit rotierenden Backups auf mindestens zwei Festplatten zu arbeiten. Eine zusätzliche Platte ist sicherlich deutlich günstiger als das Lösegeld und bringt zusätzlichen Schutz vor Datenschäden.

Time Machine unterstützt mehr als ein Backup – nach Auswahl von "Beide verwenden".

Um eine weitere Festplatte als zusätzliches Backup-Volumen einzurichten, klicken Sie in den Systemeinstellungen für Time Machine auf „Volume auswählen“ und dann das gewünschte Laufwerk. Bestätigen Sie den anschließenden Dialog mit „Beide verwenden“. Time Machine sichert dann zukünftig im Wechsel auch auf der zweiten Platte, wenn diese angeschlossen wird. Idealerweise setzen Sie sich eine zusätzliche Erinnerung im Kalender, da Time Machine manchmal Backup-Aufforderungen unterschlägt. Selbst wenn also eine Backup-Quelle kompromittiert wurde, bleibt im Ernstfall noch ein zweites, unabhängiges Backup – das Sie natürlich erst anschließen dürfen, wenn die Ransomware komplett entfernt wurde.

Alternativ bietet sich die manuelle Datensicherung auf DVD oder im Netz an, sofern der entfernte Datenspeicher nicht permanent gemountet ist. iCloud etwa arbeitet mit einer lokalen Kopie („iCloud Drive“), die von Schadsoftware auch jederzeit verschlüsselt werden könnte.

Hintergründe zur Ransomware Keranger

Die Schadsoftware nistet sich zunächst unbemerkt im System ein und wartet drei Tage lang untätig ab. Dann beginnt sie, alle Dateien unter /Users und an die 300 Dateiformate unter /Volumes mit dem sehr sicheren AES-Verfahren zu verschlüsseln. Der Anwender sieht eine Fehlermeldung und kommt nur wieder an seine Daten, wenn er 1 Bitcoin Lösegeld zahlt, also aktuell um die 380 Euro. In der Sicherheitsszene hat sich der Gattungsname „Ransomware“ für solche Trojaner etabliert (ransom; engl. für Erpressung). Wer zahlt, erhält – mit Glück – den Dekodierschlüssel vom Erpresser und kann seine Daten wiederherstellen. Wer nicht zahlt, bleibt auf einem Haufen Binärschrott sitzen.

Die Transmission-Entwickler schoben schnell ein weiteres Update hinterher.

Das Sicherheitsunternehmen Palo Alto Networks, das unter anderem Firewalls herstellt, entdeckte den Angriff noch am selben Tag und meldete ihn an die Transmission-Entwickler und an Apple. Transmission tauschte die beiden infizierten Installer kurz darauf wieder gegen die Originale aus, Apple passte seine Schadsoftware-Signatur-Datei XProtect umgehend an und startete mit der Verteilung.

In der Zwischenzeit waren 6500 Downloads gezählt worden, die Zahl der Infektionen ist nicht bekannt. Das ist nicht viel, verglichen mit den Millionen PCs, die regelmäßig von Trojanern befallen werden, aber allemal ärgerlich. Für Windows- und Android-Nutzer sind solche Erpressungsmethoden und auch der Verbreitungsweg über manipulierte Downloads schon länger ein Problem. Glücklicherweise lässt sich mit den geschilderten Maßnahmen einem solchen Angriff vorbeugen.

Besteht Anlass zur Panik? Nein. Aber die Zeit, in der man als Mac-Nutzer unbehelligt öffnen konnte, was immer man wollte, scheint vorbei. Denken Sie also stets mit und informieren Sie sich, sobald Sie Verdacht schöpfen. Meist finden Sie mit den richtigen Schlüsselwörtern in einer Google-Suche sehr schnell mehr heraus. Bleibt zu hoffen, dass KeRanger ein Einzelfall war und Apple weiterhin die XProtect-Liste regelmäßig und zeitnah pflegt, dann können wir auch in Zukunft auf Virenscanner verzichten. (wre)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Forum bei heise online: Mac OS X

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten